wie entferne ich w32.spybot.worm, backdoor.ranky und trojan.dropper

#0
04.04.2005, 15:56
Member

Beiträge: 15
#1 Hallo Leute

seit letzter Woche plage ich mich mit den o.g. Würmen herum. Ich habe auch schon versucht, diese über die NoAdware oder über die XoftSpy-Software loszuwerden, aber ohne Erfolg, da ich die Software nicht fehlerfrei installieren kann. In den entsprechenden dll-Dateien kann der Prozesseinstiegspunkt nicht gefunden werden. Die infizierten Dateien sind:

C:\WINNT\system32\defragfatx.exe (w32.Spybot.worm)
C:\WINNT\system32\windns.exe (backdoor.ranky)
C:\WINNT\System32\spoolsvc.exe (Trojan.Dropper)

Ich habe mich auch schon etwas auf den Symantec-Seiten umgesehen und konnte dort einige Infos zum Wurm und zu backdoor.ranky erhalten. Meine Frage ist, ob es reicht, meinen Rechner im VGA-Modus hochzufahren (Betriebssystem NT 4.0 mit SP 6),in der registry die entsprechen Einträge zu löschen und dann die Dateien unter C:\WINNT\system32 zu löschen - sofern dies im VGA-Modus möglich ist. Oder sind die infizierten Dateien für mein System von Bedeutung ?

Hier das HijackThis-Logfile.

Logfile of HijackThis v1.99.1
Scan saved at 15:12:29, on 04.04.05
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolss.exe
C:\PROGRA~1\Navnt\npssvc.exe
C:\WINNT\system32\RpcSs.exe
C:\WINNT\system32\tapisrv.exe
C:\WINNT\system32\rasman.exe
c:\winnt\system32\pstores.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\nddeagnt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\SysTray.Exe
C:\hardware\mouse\system\em_exec.exe
C:\WINNT\System32\loadwc.exe
C:\Programme\Winamp\Winampa.exe
C:\WINNT\Sysres.exe
C:\WINNT\system32\defragfatx.exe
C:\WINNT\system32\windns.exe
C:\WINNT\System32\spoolsvc.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\PROGRA~1\Navnt\navapsvc.exe
C:\PROGRA~1\Navnt\alertsvc.exe
C:\Programme\Navnt\navapw32.exe
E:\cr\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Volkswagen Bank direct
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] c:\hardware\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Sysres] Sysres.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINNT\system32\defragfatx.exe
O4 - HKLM\..\Run: [Services] C:\WINNT\system32\windns.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\System32\spoolsvc.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spx: C:\maerklin plugin\Open SPX Plugin\npspx32.dll
O13 - WWW. Prefix: http://
O23 - Service: NAV Warnmeldung (NAV Alert) - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe
O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe

Vielen Dank schon mal im voraus

Claudia
Seitenanfang Seitenende
07.04.2005, 15:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@roedel.de

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Sysres] Sysres.exe<--- LOGMOD TROJAN
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINNT\system32\defragfatx.exe<--W32/Poebot-F
O4 - HKLM\..\Run: [Services] C:\WINNT\system32\windns.exe<--W32/Forbot-EP
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\System32\spoolsvc.exe<--W32/Sdbot-RY
O13 - WWW. Prefix: http://

PC neustarten--> in den abgesicherten Modus

bevor du diese exe loeschst, schau mit rechtsklick-->Eigenschaften-->das Erstellungsdatum.
Dann suche weitere Dateien, koennen auch *pif oder ini oder *bat oder *dll -Dateien sein (mit dem gleichen Erstellungsdatum) und loesche alles

C:\WINNT\Sysres.exe
C:\WINNT\SysTrace.daf
http://vil.nai.com/vil/content/v_99827.htm

C:\WINNT\system32\defragfatx.exe
C:\WINNT\system32\windns.exe
C:\WINNT\System32\spoolsvc.exe

How can I try F-Secure BlackLight Rootkit Elimination Technology?
A free beta version of F-Secure BlackLight is available for download. The beta is fully featured and works until April 30th 2005.
http://www.f-secure.com/blacklight/cure.shtml
Graphical user interface version:
(Recommended for most users)
lade: fsbl.exe

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

•Trend-Micro (Online)
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

-----------------------------------------------------------------------
W32/Poebot-F
http://www.sophos.com/virusinfo/analyses/w32poebotf.html
may spread to remote network shares protected by weak passwords and computers vulnerable to common exploits, including RPC-DCOM (MS04-012) LSASS (MS04-011) and WebDav (MS03-007).
http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx

W32/Forbot-EP ist ein Wurm, der versucht sich auf remote Netzwerkfreigaben und auf Computer zu verbreiten, die für häufige Schwachstellen anfällig sind. W32/Forbot-EP enthält außerdem Backdoortrojaner-Funktionalität und ermöglicht unbefugten Fernzugriff auf den infizierten Computer über das IRC-Netzwerk, während er als Dienstprozess im Hintergrund läuft.

W32/Forbot-EP verbindet sich mit einem vorkonfigurierten IRC-Kanal und wartet auf Befehle von einem remoten Eindringling. Zu diesen Befehlen gehört, das Stehlen von Daten, das Löschen von Netzwerkfreigaben, das Herabsetzen der Systemsicherheit, das Starten eines Proxyservers, das Teilnehmen an DDoS-Attacken, das Ausnutzen von Schwachstellen, das Stehlen von Registrierungsschlüsseln für Computerspiele und das Aufspüren von E-Mail-Adressen im Windows-Adressbuch sowie in den Konfigurationsdateien des Instant Messengers.

W32/Forbot-EP kopiert sich in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, damit er automatisch bei der Anmeldung gestartet wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Domain Name Drivers =
windns.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Windows Domain Name Drivers =
windns.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Windows Domain Name Drivers =
windns.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Domain Name Drivers =
windns.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Windows Domain Name Drivers =
windns.exe

Auf NT-basierten Windows-Versionen (XP, 2000, NT) wird windns.exe als neuer Dienst namens "IEXPLORER-Drivers" mit dem Anzeigenamen "Windows Domain Name Drivers" gestartet.

An folgender Stelle werden neue Registrierungseinträge erstellt:

HKLM\SYSTEM\CurrentControlSet\Services\IEXPLORER-Drivers

http://www.sophos.de/virusinfo/analyses/w32forbotep.html

--------------

W32/Sdbot-RY is a worm and backdoor for the Windows platform.
The worm component attempts to spread to remote network shares and the backdoor allows a malicious user remote access to an infected computer via IRC channels while running in the background as a service process.

W32/Sdbot-RY copies itself to the Windows system folder with the filename spoolsvc.exe and in order to run automatically when Windows starts up creates the following registry entries:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Win32 System Spool=spoolsvc.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Win32 System Spool=spoolsvc.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Win32 System Spool=spoolsvc.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Win32 System Spool=spoolsvc.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\
Win32 System Spool=spoolsvc.exe.

W32/Sdbot-RY attempts to spread to network machines using various exploits including the LSASS vulnerability (see MS04-011).

W32/Sdbot-RY may function as a proxy server, delete network shares and steal information related to popular games.

http://www.sophos.com/virusinfo/analyses/w32sdbotry.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2005, 15:05
Member

Themenstarter

Beiträge: 15
#3 Hallo Sabina

vielen Dank für diese ausführliche Hilfe und die Linksammlung. Da habe ich mir ja echt freundliche Kameraden reingerüsselt. Mir ist zwar nicht ganz klar, wie ich das geschafft habe, aber naja. Eigentlich dachte ich immer, ich halte Surf-Disziplin, öffne keine verdächtigen Mails (auch nicht in der Vorschau) und das herunterladen von Musik, Filmen, größeren Dateieno.ä. verbietet sich bei meinem braven 56K Modem sowieso von selbst. Auf jeden Fall habe alles so ausgeführt und mein Rechner ist nach der eben erfolgreichen Anti-Virus-Analyse wieder clean. ;)

Macht weiter so und schönes Wochenende

Claudia
Seitenanfang Seitenende
08.04.2005, 16:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@roedel.de

[color="blue"]Dann poste mal bitte das neue Log vom HijackThis (zur Ueberpruefung)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.04.2005, 11:26
Member

Themenstarter

Beiträge: 15
#5 Hallo Sabina

hier ist das aktuelle Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:16:25, on 11.04.05
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolss.exe
C:\PROGRA~1\Navnt\npssvc.exe
C:\WINNT\system32\RpcSs.exe
C:\WINNT\system32\tapisrv.exe
C:\WINNT\system32\rasman.exe
C:\WINNT\System32\esserver.exe
c:\winnt\system32\pstores.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\SENS.EXE
C:\WINNT\System32\nddeagnt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\SysTray.Exe
C:\hardware\mouse\system\em_exec.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
E:\cr\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Volkswagen Bank direct
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] c:\hardware\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spx: C:\maerklin plugin\Open SPX Plugin\npspx32.dll
O23 - Service: NAV Warnmeldung (NAV Alert) - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe
O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe

Laut Auto-Auswertung ist es soweit i.O., oder habe ich etwas übersehen ?

Frage: Ist es für mich ohne weiteres möglich, das von dir beschriebene SP 2 für XP auch für mein Betriebssystem ( NT 4.0 ) zu benutzen ? Oder meintest du das SP 2 für den Internet Explorer ?

Bis später

Claudia
Seitenanfang Seitenende
11.04.2005, 15:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@roedel.de

Die nddeagnt / nddeagnt.exe (Network Dynamic Data Exchange Agent ) stammt von der Firma " Microsoft “.
Die nddeagnt.exe ist für die Verarbeitung von Netzwerkanfragen zuständig.
( DDE - Dynamic Data Exchange = Ein Dienst, welcher für Netzwerktransport und Sicherheit für den dynamischen Datenaustausch zuständig ist ).

Frage: verwendest du diesen-Agenten ?


Berichte von den Scanns
•RAV ANTIVIRUS SCAN ONLINE
http://www.ravantivirus.com/scan/index.php

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

----------------------------------------------------------------------

Windows NT 4 (ist natuerlich nicht XP)...entschuldige meinen Lapsus ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.04.2005, 08:53
Member

Themenstarter

Beiträge: 15
#7 Hallo Sabina

mit dem Lapsus ist schon oK, kann ja mal vorkommen. Ich bin so ziemlich die einzige im Freundeskreis, die noch NT benutzt, von daher ist die Verwechslungsgefahr immer groß. ;)

Nun zu deiner Frage: Also, ich stehe nicht in irgendeiner Netzwerkverbindung, der Rechner ist sozusagen ein Einzelplatzrechner. Außer Mails abrufen und im Internet rumschauen stelle ich mit ihm nix weiter an. Vor ein paar Jahren habe ich mir über Telnet noch Daten für meine Heimarbeit runtergezogen, das ist aber auch vorbei. Für welche Aktionen braucht man denn den Agenten ? Und was für Konsequenzen kann eine Deaktivierung haben bzw. ist er - wenn benötigt - wieder einfach zu aktivieren ?

Freue mich auf deine fachkundige Antwort - da lerne ich Laie immer was dazu

Claudia
Seitenanfang Seitenende
12.04.2005, 13:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@roedel.de

Zitat

F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe


das macht mich stutzig....

ueberpruefe mal bitte:


nddeagnt.exe

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2005, 11:23
Member

Themenstarter

Beiträge: 15
#9 Hallo Sabina,

anbei die Ergebnisse der Scans von Nddeagnt.exe:

...von www.virustotal.com ...

This is a report processed by VirusTotal on 04/13/2005 at 11:06:33 (CET) after scanning the file "Nddeagnt.exe" file.

Antivirus Version Update Result
AntiVir 6.30.0.7 04.13.2005 no virus found
AVG 718 04.12.2005 no virus found
BitDefender 7.0 04.12.2005 no virus found
ClamAV devel-20050307 04.13.2005 no virus found
DrWeb 4.32b 04.13.2005 no virus found
eTrust-Iris 7.1.194.0 04.13.2005 no virus found
eTrust-Vet 11.7.0.0 04.12.2005 no virus found
Fortinet 2.51 04.13.2005 no virus found
F-Prot 3.16a 04.12.2005 no virus found
Ikarus 2.32 04.12.2005 no virus found
Kaspersky 4.0.2.24 04.13.2005 no virus found
McAfee 4467 04.12.2005 no virus found
NOD32v2 1.1059 04.12.2005 no virus found
Norman 5.70.10 04.12.2005 no virus found
Panda 8.02.00 04.12.2005 no virus found
Sybari 7.5.1314 04.13.2005 no virus found
Symantec 8.0 04.12.2005 no virus found

...uns hier von Jottis Malwarescan...

Jottis Malwarescan 2.99-TRANSITION_TO_3.00

Datei: Nddeagnt.exe Status:
OK Entdeckte Packprogramme:
- AntiVir
Keine Viren gefunden Avast
Keine Viren gefunden AVG Antivirus
Keine Viren gefunden BitDefender
Keine Viren gefunden ClamAV
Keine Viren gefunden Dr.Web
Keine Viren gefunden F-Prot Antivirus
Keine Viren gefunden Fortinet
Keine Viren gefunden Kaspersky Anti-Virus
Keine Viren gefunden mks_vir
Keine Viren gefunden NOD32
Keine Viren gefunden Norman Virus Control
Keine Viren gefunden VBA32
Keine Viren gefunden

Das einzige, was mich jetzt stutzig macht, ist das Erstelldatum. Es passt nämlich mit Datum und Uhrzeit zur Trojan.Dropper-Datei (W32/Sdbot-RY). Insgesamt taucht die Datei 4x auf meinem Rechner auf.

c:\servicep4\i368
c:\temp\i368
c:\winnt\$NtServicePackUninstall$
c:\winnt\system32

Die Datei in den ersten drei Verzeichnissen haben alle die gleiche Größe, das gleiche Datum, nur die Uhrzeit ist geringfügig unterschiedlich. Diese Daten passen zu keiner Virus-Datei. Die unter c:\winnt\system32\ passt mit Datum und Uhrzeit genau zur Virus-Datei. Die Größe ist genauso wie bei der Datei in den anderen Verzeichnissen.

Ich hoffe, ich war verständlich genug. Kannst du mit der Information was anfangen ?

Bis später

Claudia
Seitenanfang Seitenende
13.04.2005, 11:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo@roedel.de

Ich denke, wir riskieren es.....dein PC ist war sowieso so was von verseucht, dass eine Neuinstallation kein Problem ist...

2.)dann gehe in die Registry und Bearbeiten--> suchen-->nddeagnt.exe

-->was du findest ...mir schreiben)

[b]3.)c:\winnt\system32\nddeagnt.exe
und suche noch eine dll,ini, bat,pif die zur Infektionszeit passt ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.04.2005, 14:43
Member

Themenstarter

Beiträge: 15
#11 Hallo Sabina

also, hier die Einträge in der Registry:

In den Pfaden
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU\ und
HKU\S-1-5-21-1613324561-1688422660-2033415169-500\Software\ Microsoft\Windows\CurrentVersion\Explorer\Doc Find SpecMRU\
sieht es so aus:

Schlüssel Zeichenfolge
(Standard) (Wert nicht gesetzt)
a ““
b “*.*“
c “nddeagnt.exe“
d “*.daf“
e “sys*.exe“
f “sysres.exe“
g “nddeagnt.exe“
h “*.dll“
i “nddeagnt.exe;*.vir“
j “algs.exe“
MRUList “dbaigjechf“

und im Pfad
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon
sieht es so aus:

Schlüssel Zeichenfolge
(Standard) (Wert nicht gesetzt)
AutoRestartShell 0x00000001 (1)
DebugServerCommand “no“
DefaultDomainName “Workstation“
DefaultUserName “Administrator“
LegalNoticeCaption ““
LegalNoticeText ““
PowerDownAfterShutdown “0“
ReportBookOk “1“
Shell “Explorer.exe“
ShutdownWithoutLogon “1“
System “lsass.exe“
Userinit “userinit,nddeagnt.exe“
VmApplet “rundll32 shell32,Control_RunDll “sysdm.cpl“ “

was auch immer das alles heißen mag, ich hoffe, du kannst damit was anfangen.

Wenn ich alle Dateien, die das gleich Datum und Uhrzeit wie die eine Virusdatei aufweisen löschen würde, dann bliebe unter c:\winnt\system32 und ein paar anderen Ordnern so gut wie keine dll-Datei über. Auch mehrere exe (z.B. cmd.exe, wordpad.exe, clock.exe, calc.exe etc.) wären davon betroffen. Heißt das, das sie alle potentiell infiziert sind oder trägt sich der Wurm in vorhandene Dateien ein, ohne das Datum zu ändern. Es könnte nämlich sein, das das Datum (in dem Fall 19.11.99, 13:06) der Zeitpunkt war, an dem ich das System schon mal neu aufgesetzt habe, sicher bin ich mir aber nicht, kann also auch Zufall sein. Und wieso, wenn mein Rechner so infiziert ist, springt mein NortonAntiVirus dann nicht an, obwohl ich die neusten Virusinformationen habe ? Oder sorgt diese nddeagnt.exe oder eine andere Datei nur dafür, dass ständig neue Dateien infiziert werden ?

ini, bat oder pif-dateien mit gleichen Daten habe ich nicht gefunden.

Bis später

Claudia
Seitenanfang Seitenende
15.04.2005, 01:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo@roedel.de

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2005, 10:42
Member

Themenstarter

Beiträge: 15
#13 Hallo Sabina

ich habe mir das eScan-Erkennungstool gerade heruntergeladen - war mit meinem braven 56K Modem ganz schön heftig. Ich bin die nächsten Tage viel unterwegs und werde wohl erst am Sonntag oder Anfang nächster Woche dazu kommen, das alles in Ruhe auszuführen. Nur damit du Bescheid weist. Ich habe erst mal mein Norton AutoProtect so konfguriert, dass er bei allen Aktionen wachsam ist. Gestern hat er auch zum ersten Mal angeschlagen und zwar, als wir im Internet waren und gerade E-Mails über einen unserer Provider abgerufen haben. Nur waren die E-Mails allesamt von bekannten Leuten und stets ohne irgendeinen auffälligen Anhang. Angesprungen ist er beim Öffnen einer Email ohne Anhang. Hat das was zu bedeuten oder war das nur Zufall ?

Ich melde mich dann, wenn ich die beschriebenen Aktionen ausgeführt habe.

Schönes Wochenende ;)

Claudia
Seitenanfang Seitenende
15.04.2005, 11:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hallo@roedel.de

es kann sein, dass die Mails von Leuten kommen, die ohne es zu wissen, vor einem virenbefallenen PC aus Mails schicken.... Achtung!
Es gibt auch Wuermer, die sich von allein verschicken, also ohne jeden Anhang.
Die Absender dieser Mails solltest du benachrichtigen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.04.2005, 21:36
Member

Themenstarter

Beiträge: 15
#15 Hallo Sabina,

alles klar, da werde ich mal die Leutchen benachrichtigen.

Hier nun die „infected“-Zeilen + die Zusammenfassung. Zusätzlich habe ich die Zeilen, die beim Scan zwar angemotzt wurden aber nicht als „infected“ markiert wurden und die „error“-Zeilen noch mitgeliefert. Ich habe das Gefühl, einige Dateien wurden mehrere Male bei einem Scan durchgecheckt. Deshalb hat wohl auch so lange gedauert (fast 1,5 h).

Sun Apr 17 12:22:58 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sun Apr 17 12:22:58 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun Apr 17 12:28:40 2005 => File C:\WINNT\System32\szroudzo.exe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken.
Sun Apr 17 13:42:40 2005 => File C:\WINNT\system32\szroudzo.exe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken.
Sun Apr 17 14:14:08 2005 => File C:\WINNT\system32\szroudzo.exe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken.

Sun Apr 17 12:30:24 2005 => File C:\TEMP\GL_4.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Apr 17 13:06:21 2005 => File C:\software\WAVELAB\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Apr 17 13:08:17 2005 => File C:\TEMP\GL_4.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sun Apr 17 13:45:22 2005 => File D:\Programme\Snapshot\Siuninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sun Apr 17 13:07:09 2005 => Result: ERROR!!! File C:\software\Winzip\Version8\WINZIP80.EXE is Not Scanned
Sun Apr 17 13:07:09 2005 => C:\software\Winzip\Version8\WINZIP80.EXE not Scanned. Possibly password protected...
Sun Apr 17 13:07:00 2005 => Result: ERROR!!! File C:\software\Winzip\Version7\winzip70.exe is Not Scanned
Sun Apr 17 13:07:00 2005 => C:\software\Winzip\Version7\winzip70.exe not Scanned. Possibly password protected...
Sun Apr 17 12:49:44 2005 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!!
Sun Apr 17 12:49:44 2005 => ERROR!!! ScanFile fails for C:\pagefile.sys


Sun Apr 17 14:15:16 2005 => Total Objects Scanned: 24910
Sun Apr 17 14:15:16 2005 => Total Virus(es) Found: 8
Sun Apr 17 14:15:16 2005 => Total Disinfected Files: 0
Sun Apr 17 14:15:16 2005 => Total Files Renamed: 0
Sun Apr 17 14:15:16 2005 => Total Deleted Objects: 0
Sun Apr 17 14:15:16 2005 => Total Errors: 3
Sun Apr 17 14:15:16 2005 => Time Elapsed: 01:53:20
Sun Apr 17 14:15:16 2005 => Virus Database Date: 2005/04/13
Sun Apr 17 14:15:16 2005 => Virus Database Count: 125667

Ich hoffe, du hast jetzt erstmal die wichtigen Infos.

Bis später

Claudia
Seitenanfang Seitenende